web-dev-qa-db-ja.com

NTFSアクセス許可のセキュリティグループの管理

最初に、私はずっと前に各部門にファイル共有を実装した会社で働いていましたが、NTFSアクセス許可の基本的なルールを破り、特定のフォルダーのユーザーに明示的なアクセス許可を使用していました。セットアップの例を示すために、すべてのユーザーがW:ドライブを持っています。 W:ドライブの階層は次のようになります。

W:\ HR

W:\ Legal

W:\ Finance

W:\ Communications

これらのフォルダはかなり整理されていたと思います。しかし、法務部の誰かがHRドキュメントへのアクセスを必要とし、財務部の誰かが法務ドキュメントへのアクセスを必要とするという複雑な状況が発生し、法務の異なるサブディビジョンから2人の異なる人々が法的フォルダー内の特定のフォルダーへのアクセスを必要とするという奇妙なケースがあります。しかし、他の人にこのフォルダへのアクセスを許可したくありません。当時、IT部門が最善の解決策と感じていたのは、それらのユーザーに明示的なアクセス許可を与えることです。

7年前にこの仕事を始めてから、これらのインスタンスのセキュリティグループを作成することをほのめかしています(たとえ1つのユーザーアカウントだけの場合でも)。ユーザーが離れると、すべてのグループから削除され、元従業員のOUは5年間ですが、明示的なアクセス許可はファイル共有のフォルダーに残ります。

これらのインスタンスのセキュリティグループを作成することをヒントにすると、反対の議論は、「人々が去ったときにすべての空のグループをどのように管理するのか?ADでこれらのグループをどのように整理して名前を付けるのか?」です。

最初の引数として、空のグループを削除するか、特定のフォルダへの同じアクセスを要求する将来の従業員のためにそれらをそのままにしておく単純なpowershellスクリプトを提案します。

2番目の引数は、良い解決策を見つけるのに苦労しているところです。したがって、その簡単な小説の後で、上記の状況に直面したときに、NTFSアクセス許可のためにADのセキュリティグループを編成するためのヒントや例を求めたいと思います。

私が持っていたのは、特別なNTFSアクセス許可グループ専用のOUを作成し、グループにアクセスを許可するフォルダーの名前を付け、説明に完全なファイルパスを含めることでした。

誰かがより良いアイデアを持っている場合、または誰かがこれを異なる方法で行う場合は、私は提案を受け入れます。

active-directorywindows-server-2008-r2network-sharefile-permissionssecurity-groups
7
takeitback

あなたの考えは本質的に私がすることであり、私は複雑な環境でそのように物事を管理することに多くの成功を収めてきました。

両方の問題の解決策は、フォルダー/共有に関連付けられたresource groupsを作成することです。空のグループはまったく削除しないでください。グループは、フォルダーまたは共有が存在する限り存在し、ユーザーが存在する限り存在しません。フォルダを削除した場合は、空かどうかに関係なく、関連するリソースグループを削除します。

ADでセキュリティ原則を整理する方法についての質問は、私にとって少し謎です-それがADの目的です!好きなように整理できます!

これが[〜#〜] i [〜#〜]の方法です:

  • 適切な場所にOUを作成し、「リソースグループ」などの役立つ名前を付けます。
  • オプション:「リソースグループ」内にOUを作成し、「フォルダーグループ」のような名前を付けます。この手順は主に、プリンターグループやアプリケーショングループなど、他のリソースグループを配置する場所を自分自身に残すことです。
  • 継承されていないアクセス許可を持つすべてのフォルダー/共有の調査を開始します。継承されていないアクセス許可を持つ何かを見つけたら、それに名前を付けたDomain Localセキュリティグループを作成します。たとえば、\\ FileServer01\Accountingの場合、「Accounting Folder」というグループを作成します。グループはフォルダの場合であり、部門ではないため、グループに「Accounting」という名前を付けないでください。私は物事をより明確に保ち、​​「経理」という名前のグループはありません。 "Accounting Users"グローバルセキュリティグループと "Accounting Folder"ドメインローカルセキュリティグループを用意します。
  • 新しいフォルダーグループの説明に、完全なUNCパスまたはその他の方法で、フォルダーの目的を指定します。この方法では、グループがアクセスを許可するリソースについて混乱はありません。たとえば、説明を「\\ FileServer01\Accounting」にしたり、「D:\ Shares\Accounting on FileServer01」にしたりできます。
  • 新しいグループをフォルダーのACLに追加し、フォルダーのすべてのユーザーまたはユーザーグループのACEをグループに追加します。明確にしましょう:まず、アカウンティングフォルダーグループに、アカウンティングフォルダーへの適切なアクセス許可を与えます。次に、アカウンティングフォルダーの他の権限を確認し、それらすべてのオブジェクトをアカウンティングフォルダーグループに追加しますが、「SYSTEM」や「CREATOR OWNER」などのオブジェクトは追加しないでください。 「経理部」グループや、経理フォルダへの明示的なアクセスが許可されている個々のアカウントなど、知っているものを追加するだけです。 フォルダへの権限を削除しないでくださいAT今回。ユーザーは、次に取得するまで、作成したグループに基づいて新しいアクセス権を取得しません通常は次回ログオンするときにセキュリティトークンを使用します。明示的なACEを削除すると、ほとんどの場合、ユーザーはフォルダからロックアウトされ、ログオフして再度ログオンして新しいアクセス許可構造を機能させる必要があります。
  • 新しいグループの作成と新しいアクセス許可構造の設定が完了するまで、すべてのフォルダーを調べてください。ユーザーが少なくとも1回(おそらく数週間)ログオフしてログオンし直したことを確認したら、重要度の最も低いフォルダーから始めて、フォルダー自体の明示的なACEを削除し、ユーザーが引き続きアクセスできることを確認します。フォルダをさかのぼって、最も重要なユーザー(HR、財務、Cレベル)に、適切なファイルへのアクセス権があることを確認してください。
  • 注:異なるレベルのアクセス権が付与されているACEについて疑問に思っているかもしれません。たとえば、アカウンティングにはアカウンティングフォルダに対する読み取り/書き込みがありますが、CEOには読み取り専用があります。これらの状況では、フォルダーごとに複数のリソースグループを作成する必要があります。フォルダーごとに3つ以下のグループを作成する方法を理解し、それらに一貫した名前を付け、すべてのフォルダーに同じ2つまたは3つを作成することをお勧めします。したがって、「会計フォルダRW」、「会計フォルダRO」、「会計フォルダFC」(フルコントロール用)などの名前を付けます。最後のカテゴリがないことを願っていますが、権限管理を部門長に委任することに成功しました。つまり、彼らはサブフォルダとファイルに権限を付与する必要があるため、これを「フル」と呼びます。対照群。繰り返しますが、1つのフォルダーに「RW」グループと「RO」グループを作成する場合、フォルダーに異なるレベルのアクセス権が付与されたACEが現在ない場合でも、他のすべてのフォルダーにも作成することをお勧めします。これにより、フォルダーグループシステムを明確に保ち、​​将来、さまざまな種類のアクセスを簡単に許可できるようになります。

ノート:

  • 上記の提案は、マイクロソフトのベストプラクティスに従っています。ユーザーはユーザーグループに入れられます。リソースグループが作成され、リソースへのアクセスが許可されます。次に、ユーザーグループやユーザーが適切なリソースグループに追加されます。これがアクセス許可を管理するための賢明な方法である理由はたくさんありますが、そのいくつかを以下で説明します。
  • リソースへのアクセスを許可するためだけにユーザーをユーザーグループに追加しないでください。たとえば、全員がアカウンティングに参加しているアカウンティングユーザーグループがある場合は、アカウンティングファイルへのアクセス権を付与するためだけに、CEOをアカウンティングユーザーグループに追加しないでください。将来、どのような予期しない結果が発生する可能性があるかは、決してわかりません。
  • この方法でこれを行う1つの利点は、グループメンバーシップを介してリソースへのアクセスを許可する方が速く、特定の問題が発生しにくいことです。たとえば、5,000以上のサブフォルダーとファイルを含むAccountingフォルダーがある場合、すべてのアクセス許可を最上位のAccountingフォルダーACLから継承し、単一のユーザーをそのAccountingフォルダーACLに追加すると、その変更は5,000ファイルすべてに反映されます。また、すべてのACLに新しいACEを追加する必要があります。リソースグループを使用することで、問題のグループにユーザーを追加するだけで、ユーザーはアクセスできます。 ACLの変更はありません。
  • 別の大きな利点は、特定のユーザーがアクセスできるすべてのリソースを簡単に見つけられることです。明示的なACEを使用する場合、ユーザーがアクセスできるものを確認する唯一の方法は、ネットワーク上のすべてのACLを監査して、そのユーザーにACEがあるかどうかを確認することです。リソースグループを使用すると、ADでユーザーにアクセスして、それらがメンバーとなっているグループを確認できます。
  • おそらく、この方法の私のお気に入りの利点はユーザーのすべてのリソースへのアクセスを完全にコピーできるです。これは、アクセスがネットワーク上のさまざまなACLではなく、アカウントのグループメンバーシップに関連付けられているためです。あなたのCFOはあらゆる種類のクレイジーなアクセス権をファイルサーバー全体の20以上の異なるフォルダーに付与しましたか?そして今、彼らは引退し、あなたは新しいCFOを持っていますか?問題ない!古いCFOのアカウントをコピーし、新しい名前などを入力するだけで、新しいCFOは古いアカウントとまったく同じアクセス権を持ちます。おまけ:エグゼクティブチームメンバーが「ファイルにアクセスするためにログインする」ことができるように、古いCFOのアカウントを機能させ続けるなど、馬鹿げたことをする必要はありません。
  • また、リソースアクセスを別のリソースにコピーしたり、フォルダーを移動したりするのもはるかに簡単です。新しいファイルサーバーを構築し、すべてのファイルを新しいサーバーにコピーする場合、大量のACEを新しいサーバーにコピーする必要はありません。リソースグループに適切な権限を付与するだけです。
  • 個々のユーザーのアクセス権を監査できるだけでなく、特定のリソースへのアクセス権を持つユーザーを簡単に監査できます。リソースのリソースグループを見るだけで、そのリソースへのアクセスの種類が誰のリストが表示されます。
  • 最後に、出発したユーザーをすべてのグループから削除する理由がわかりません。電子メール配布グループからは削除しますが、セキュリティグループからは削除しません。それらをセキュリティグループに残しておくと、どのようなアクセス権があったかが記録されます。また、そのアカウントとそのアクセス権を残してからコピーすることもできます。代替品が見つかる前に離れることがあるため、代替品が開始されるまで無効なアカウントを保持しておくと、運用の継続性が向上します。また、人が出てから数か月後に戻ってくることもあります。 ADのごみ箱を使用している場合は、30日または60日後にアカウントを削除し、ユーザーが戻ってきた場合は1年後もアカウントを復元でき、すべての権限を同時に復元できます。
12
Todd Wilcox